Web前端黑客技术揭秘 笔记1
一.URL编码方式
编码escape 解码 unescape
编码encodeURI 解码decodeURI
编码encodeURIComponent 解码decodeURIComponent
二.IframeWeb安全中出现率最高的,父页与子页如何跨文档读写数据,如果同域,通过调用contentWindow操作子页的DOM树.
如果不同域,子页可以对父页的location进行写操作,使其重定向其他网页,有写权限,但是没有读权限
三.HTMl内嵌脚本执行JavaScript可以出现在HTML的标签的on事件等地方
<?phpheader("Access-Control-Allow-Origin:http://www.foo.com");header("Access-Control-Allow-Credentials:true");//允许跨域证书发送//...?>
如果Access-Control-Allow-Credentials的值为true,则Access-Control-Allow-Origin的值不能为*